Сергей Авдошин - Информатизация бизнеса. Управление рисками
- Название:Информатизация бизнеса. Управление рисками
- Автор:
- Жанр:
- Издательство:ДМК Пресс
- Год:2011
- Город:Москва
- ISBN:978-5-94074-109-1
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Сергей Авдошин - Информатизация бизнеса. Управление рисками краткое содержание
Проблема управления рисками при информатизации бизнеса является одной из наиболее актуальных и значимых в ИТ-индустрии. В предлагаемом учебно-практическом пособии, затронуты как теоретические, так и практические вопросы управления рисками, раскрывается специфика механизма управления рисками при реализации проектов в области информационных технологий.
В основу учебного пособия положен многолетний опыт преподавания авторами дисциплины «Управление рисками» на отделении программной инженерии Высшей школы экономики.
Книга предназначена для студентов магистратуры, обучающихся по направлениям 080500.68 «Бизнес-информатика» и 231000.68 «Программная инженерия», а также для ИТ-специалистов, разработчиков и заказчиков программных продуктов, менеджеров ИТ-проектов.
Информатизация бизнеса. Управление рисками - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
• тендер по критериям стоимость, сроки, результат, гарантии (наличие контракта SLA);
• взаимодействие с партнерами и представителем компании – разработчика программного обеспечения;
• контроль реакции и качества предоставляемых услуг;
• четко прописанные этапы работ в SLA;
• четко определенные показатели контроля результатов (KPI).
Крайне важна финансовая стабильность поставщика, иначе аутсорсер не сможет обеспечить необходимые ресурсы для исполнения контракта, понести непредвиденные издержки. Очень важно ориентироваться на крупные и давно работающие на рынке компании с опытом успешных проектов. Их репутация стоит намного дороже выгод, которые можно получить от разглашения конфиденциальной информации клиента (рис. 21).
Рис. 21. Критерии выбора поставщика ИТ-услуг (по данным «Aplana Software»)
Предположим, в аутсорсинговой компании произошел конфликт и ушли несколько ведущих специалистов, занятых обслуживанием ИТ вашей компании. Крупная компания-аутсорсер сможет быстро отреагировать на ситуацию, подключив других своих специалистов, в то время как небольшая компания поставит ваш бизнес под угрозу, несмотря на контрактные обязательства и штрафные санкции.
Если поставщик не обладает достаточной репутацией, можно порекомендовать начинать сотрудничество с аутсорсером с реализации небольших ИТ-проектов, не критичных для бизнеса.
Хотелось бы отметить, что, помимо рисков, существуют и другие проблемы развития ИТ-аутсорсинга в России. Во-первых, отсутствует правовое поле, нет понятия «аутсорсинг» в законодательстве РФ. Также отсутствуют регламентированная методология, стандарты, ценообразование. Во-вторых, существует достаточно большое взаимное недоверие заказчиков и поставщиков. При этом страхование рисков аутсорсинговых контрактов имеет ограниченную практику. В-третьих, фактически не существует координации усилий государства, бизнеса и заказчиков, обязательной сертификации аутсорсинговых компаний и «покрытия» компетенций, которые могли бы вывести аутсорсинг на существенно новый и качественный уровень.
Глава 6
Риски в обеспечении информационной безопасности
6.1. Понятие информационной безопасности
Зависимость бизнеса от современных информационных технологий огромна. Преимущества их использования очевидны – это хранение и обработка большого количества информации, скорость передачи данных, доступ к информации по всему миру. Развитие информационных технологий с каждым годом усложняет процесс защиты информации. Если в начале 80-х годов защита информации могла быть эффективно обеспечена при помощи специально разработанных организационных мер и программно-аппаратных средств шифрования, в настоящее время информационная безопасность требует более продвинутых средств защиты. Это обусловлено возрастающей сложностью и масштабами программных средств и компьютерных систем, сбором и хранением крупных информационных баз на электронных носителях, доступом к ресурсам компьютерной системы большого числа пользователей с различными правами доступа к системе. Так, например, активное применение Интернета практически во всех сферах бизнеса делает ИТ-структуру компании более уязвимой за счет возможности доступа пользователей извне.
Определений информационной безопасности множество. Согласно ГОСТу, защита информации (обеспечение информационной безопасности) – это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Многие определения охватывают аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности информации или средств ее обработки. Негативные воздействия, как правило, осуществляются с целью нарушения конфиденциальности, целостности и доступности информации, поэтому для достижения цели информационной безопасности необходимо обеспечить точность и полноту информационных активов, доступных и пригодных для использования только уполномоченными лицами (организацией, процессом) в соответствии с их требованиями.
Чем сложнее задача автоматизации и чем ответственнее область, в которой используются компьютерные информационные технологии, тем все более и более критичными становятся надежность и безопасность информационных ресурсов, задействованных в процессе сбора, накопления, обработки, передачи и хранения компьютерных данных. Целью информационной безопасности является предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее.
Существует целый ряд стандартов и подходов к обеспечению информационной безопасности компании и управлению информационными рисками. Наибольшую известность в мировой практике управления информационными рисками имеют такие международные спецификации и стандарты, как ISO 17799–2002 (BS 7799), CISA (Сертифицированный аудитор информационных систем), CISSP (Сертифицированный профессионал по обеспечению безопасности информационных систем), COSO, SAS 55/78, и некоторые другие, аналогичные им.
Основополагающими считаются стандарты международной организации по стандартизации серии ISO 27000, включающие шесть стандартов информационной безопасности. Фактически эти стандарты представляют собой технологию управления информационной безопасностью.
ISO/IEC 27001 представляет собой международный стандарт – «Система управления информационной безопасностью (СУИБ). Требования» – и позволяет организациям определять цели и процессы информационной безопасности, предпринимать шаги к увеличению эффективности.
Стандарт ISO/IEC 27002 представляет собой практическое руководство по созданию СУИБ, описывает механизмы контроля, необходимого для построения системы безопасности, определенные на основе лучших примеров мирового опыта в данной области.
Существует еще один международный стандарт ISO 15408, который был разработан на основе стандарта «Общие критерии безопасности информационных технологий» (рис. 22). В 2002 году этот стандарт был принят в России как ГОСТ Р ИСО/МЭК 15408–2002 «Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий», часто в литературе называемый «Общие критерии». Ранее в отечественных нормативных документах в области ИБ понятие риска не вводилось.
Стандарты носят исключительно концептуальный характер, что позволяет экспертам по информационной безопасности реализовать любые средства и технологии оценки, отработки и управления рисками. Однако отсутствие конкретных рекомендаций по выбору какого-либо аппарата оценки риска, а также синтезу мер, средств и сервисов безопасности, используемых для минимизации рисков, снижает полезность стандартов как технологических документов.
Читать дальшеИнтервал:
Закладка:
